New AgeLocker Ransomware utilizza l'utilità di Google per crittografare i file

New AgeLocker Ransomware utilizza l'utilità di Google per crittografare i file

Un nuovo ransomware chiamato AgeLocker utilizza lo strumento di crittografia "Age" creato da un dipendente di Google, per crittografare i file delle vittime.

Ieri, un consulente ha creato un argomento nei forum BleepingComputer su un nuovo ransomware utilizzato in un attacco contro il proprio client.

Dopo aver esaminato i file crittografati, è stato scoperto che  è stata aggiunta un'intestazione di testo a ciascun file che inizia con l'URL "age-encryption.org", come mostrato di seguito.

Di seguito è riportato un esempio dell'intestazione di testo aggiunta a un file crittografato:

age-encryption.org/v1
-> X25519 O9LABKJJggKQAsCbCQzPQFz0XwOHXSljEJU2xwS3zHA
Ildq7HXhtndUkpcHnz1+jnFjkpPK8wrVbDSbYXye2wg
--- Rwz4uNO8q6DbP1gbGuSVIA7W2wUKNluxyvMHuAJNIyM

L'URL  age-encryption.org  ti porta a un repository GitHub per un'utilità di crittografia chiamata 'Age' creata da Filippo Valsorda, crittografo e responsabile della sicurezza Go di Google.

Secondo il manuale Age, l'utilità è stata progettata in sostituzione di GPG per crittografare "file, backup e flussi".

"Questo è un progetto per un semplice strumento CLI di crittografia dei file, libreria Go e formato.
Ha lo scopo di sostituire l'uso di gpg per crittografare file, backup, flussi, ecc.
Si chiama" age ", che potrebbe essere l'acronimo di Actually Buona crittografia, ed è pronunciato come il giapponese 上 げ (con un g duro). "

Invece di creare un ransomware che utilizza algoritmi di crittografia comunemente usati come AES + RSA, gli hacker dietro AgeLocker sembrano utilizzare lo strumento da riga di comando Age per crittografare i file di una vittima.

L'esperto di decrittazione di ransomware, Michael Gillespie, ha dichiarato a BleepingComputer che Age utilizza gli algoritmi X25519 (una curva ECDH), ChaChar20-Poly1305 e HMAC-SHA256, che lo rende un metodo molto sicuro per crittografare un file.

BleepingComputer ha contattato Valsorda per vedere se avesse qualche consiglio che potesse essere offerto alle vittime ma senza riceverne risposta.

Nota di riscatto di AgeLocker inviata via e-mail

Non è noto come gli hacker stiano accedendo ai computer della vittima, ma una volta che ottengono l'accesso al sistema, utilizzano lo strumento di crittografia Age per crittografare i file della vittima.

Durante la crittografia dei dati, un'estensione personalizzata creata con le iniziali della vittima verrà aggiunta a ciascun nome file crittografato.

In un primo momento per le infezioni da ransomware, invece di creare note di riscatto sul sistema crittografato, gli aggressori hanno inviato per e-mail la richiesta di riscatto alla vittima.

Dopo che i dispositivi dell'azienda sono stati crittografati nell'attacco segnalato, hanno ricevuto un'e-mail con un oggetto di "audit di sicurezza [nome azienda]".

In questa nota di riscatto sono elencati i dispositivi crittografati dal ransomware e le istruzioni su come ottenere le informazioni di pagamento.

Hello XXX and XXX,
 
Unfortunately a malware has infected your network and a millions of files has been encrypted using a hybrid encryption scheme. 
File names encrypted too.
 
Encrypted hosts are:
 
Storage:
1. XXX
2. XXX
3. XXX
4. XXX
5. XXX
Mac + external drives
1. XXX?
2. XXX?
3. XXX
4. XXX
5. XXX
6. XXX
 
You have to pay for decryption in Bitcoins.
The price depends on how fast you write us.
After payment we will send you the tool(for mac and linux) that will decrypt all your files. 
 
Free decryption as guarantee
 
Before paying you can send us up to 5 files for free decryption.
The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.), file name shouldn't be changed.
 
How to obtain Bitcoins
 
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
 
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
 
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
 
Note: we can answer up to 6-9 hours, because of another timezone."

Secondo la vittima, gli hacker chiedono 7 bitcoin, ovvero circa $ 64.500, per decrittografare i file.

Sfortunatamente, al momento non sembra possibile recuperare file crittografati gratuitamente da Age.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.